Анализ коммуникаций — красная таблетка для офицера внутренней безопасности
Узнать большеМногие российские компании довольно часто подвергаются разного рода кибератакам, от которых становится все сложнее защищаться в связи с тем, что преступные схемы постоянно совершенствуются, а мошенники учатся обходить средства защиты. Чтобы минимизировать риски информационной безопасности, необходимо применять комплексный подход. Одна из мер – разработка модели угроз. Разберемся, что это такое и каким образом поможет обеспечить безопасность.
Что такое моделирование угроз, зачем применяется, какие задачи решает
Модель угроз информационной безопасности – стратегический подход к выявлению актуальных векторов действий злоумышленников и оценка степени их опасности для компании. По сути, это документ с перечнем вероятных атак и точек входа для киберпреступников.
Главная задача методики – узнать противника «в лицо» и подготовиться к отражению нападений. Применяя ее, удается минимизировать риски и потенциальные негативные последствия для организации.
Важно исследовать два типа угроз:
- Внешние, то есть исходящие от лиц, не имеющих прямого отношения к компании. Они могут быть нацелены на подрыв ее репутации и даже остановку деятельности, кражу денежных средств со счетов, слив конфиденциальной информации.
- Внутренние – угрозы, исходящие от инсайдеров: сотрудников организации, партнеров или иных лиц, тем или иным образом связанных с деятельностью или персоналом компании. То есть людей, у которых уже есть доступ к конфиденциальной информации, или тех, кто при желании может легко им завладеть.
Задачи, которые решает моделирование угроз
- Идентификация потенциальных угроз. Моделирование угроз помогает идентифицировать потенциальные угрозы безопасности информации, которые могут повлиять на целостность и доступность информационных ресурсов, включая конфиденциальные данные.
- Оценка рисков. Моделирование угроз помогает оценить риски, связанные с потенциальными угрозами безопасности информации. Это позволяет организации принять меры для снижения или устранения рисков.
- Разработка мер безопасности. Моделирование угроз помогает разработать эффективные меры безопасности для предотвращения или снижения рисков, связанных с потенциальными угрозами безопасности информации.
- Проверка эффективности мер безопасности. Моделирование угроз помогает проверить эффективность существующих мер безопасности и определить, требуются ли дополнительные меры для защиты информационных ресурсов.
- Обучение персонала. Моделирование угроз может быть использовано для обучения персонала организации по вопросам безопасности информации и повышения осведомленности о потенциальных угрозах.
Внешние угрозы информационной безопасности
Модели угроз информационной безопасности должны охватывать все существующие варианты атак. Выделим четыре категории, которым в основном подвергаются как пользователи интернета – физические лица, так и компании.
Киберугрозы
В моделях угроз так называют атаки с использованием уязвимостей локальных сетей и приложений. Примеры:
- «Нашествие» ботнетов – атаки с использованием множества зараженных устройств, управляемых хакерами.
- DDoS-атаки – намеренная перегрузка серверов путем отправки огромного количества запросов.
- Внедрение кода SQL для взлома баз данных и различных программ.
- XSS или межсайтовый скриптинг – внедрение вредоносных кодов в браузеры жертв с целью дальнейшего развития атаки.
В моделях угроз могут присутствовать десятки разновидностей атак. Важно следить за преступными тенденциями и регулярно обновлять документ с учетом актуального ландшафта киберугроз.
Фишинг
Фишинг – мошеннические действия, которые чаще всего выделяют в отдельную категорию. Главная цель при использовании этой тактики – завладеть персональными или платежными данными, украсть деньги с банковских карт. Это происходит разными методами в зависимости от выбранного злоумышленниками сценария:
- Целевой фишинг, направленный на конкретную жертву или узкий круг лиц. Как правило, мошенники, под видом родственника или коллеги отправляют письма или сообщения с просьбами переслать деньги или поделиться какими-либо сведениями. В процессе жертву часто запугивают или торопят, вынуждая совершать необдуманные поступки. Модели угроз обязательно включают этот вариант атаки.
- Уэйлинг – целевой фишинг, направленный на руководителей компаний. Обычно это попытки выведать ИНН и банковские реквизиты фирмы. Для достоверности преступники присылают жертве письма «официального» характера якобы от имени партнеров или клиентов.
- Смишинг – отправка СМС-сообщений со ссылками на фейковые зараженные ресурсы.
- Вишинг – голосовые атаки. Например, преступники выдают себя за сотрудников банка и требуют назвать полные данные платежной карты. Или банально просят денег под видом знакомых.
- Email-фишинг – самая распространенная атака в модели угроз. Она подразумевает рассылку электронных писем с вредоносными вложениями или приглашениями на сомнительные ресурсы.
- Поисковый фишинг – выведение мошеннического ресурса в топ благодаря SEO-оптимизации. Ничего не подозревающие пользователи заходят на сомнительные сайты и оставляют персональные данные или «хватают» на свои устройства вредоносные программы.
- Шантаж – достаточно редкий сейчас вид фишинговой атаки, в рамках которого мошенники отправляют жертвам письма о наличии некого компромата и предлагают перевести деньги за молчание.
Модели угроз информационной безопасности должны описывать опасность всех видов фишинга, поскольку у преступников иногда хорошо работают даже банальные схемы, о которых давно известно.
Вредоносное программное обеспечение
Вредоносным ПО называют программы, которые попадают на устройства жертв через зараженные сайты, приложения или внешние носители, а затем парализуют работу информационных систем или помогают похищать конфиденциальные данные. Самые распространенные виды такого ПО:
- Классические компьютерные черви – программы, которые умеют копировать сами себя, поэтому быстро распространяются по компьютерным сетям. Они используют уязвимости безопасности и наносят серьезный вред информационным системам.
- Трояны – программные компоненты, маскирующиеся под легитимные приложения, а иногда даже выполняющие их функции. Они могут наносить вред системе и собирать засекреченные данные.
- Шпионы – программы, которые устанавливаются на компьютеры с целью сбора конфиденциальной информации.
- Кейлогеры –программы, которые умеют фиксировать нажатия на клавиатуру. С их помощью злоумышленники могут похищать пароли и персональные данные.
Также в моделях угроз могут присутствовать логические, кластерные и архивные «бомбы», различные хакерские утилиты, программы-вымогатели и т. д.
Взломом называют попытки злоумышленников проникнуть внутрь информационного периметра компании и получить доступ к ресурсам, конфиденциальным данным. Такие атаки реализуются разными методами, например, с помощью ботов, программ-шпионов, перехвата корпоративной электронной почты. Модель угроз должна описывать как можно больше способов проникновения преступников, чтобы было проще «держать оборону» информационного пространства.
Социальная инженерия
Еще один вид опасных атак – социальная инженерия, которую иначе называют «взломом человека». Чтобы ее осуществить, не нужны технологии и специальные инструменты – достаточно умения манипулировать жертвой и входить к ней в доверие. Мошенники используют различные психологические приемы, позволяющие получить необходимую информацию: сведения о каких-либо персонах, логины и пароли, реквизиты карт и банковских счетов. Как правило, перед взаимодействием с жертвой преступники тщательно готовятся, например, изучают социальные сети и на основании добытых данных создают правдоподобную легенду. Или маскируются под потенциальных клиентов компании, входят в доверие к менеджерам и пытаются выведать важную информацию. Схем социальной инженерии очень много, и нередко они далеки от банальных. Важно, чтобы модели отражали как можно больше признаков таких угроз, поскольку многие люди склонны поддаваться на уловки мошенников, а это чревато серьезными последствиями для компании.
Внутренние угрозы информационной безопасности
К этой группе можно отнести инсайдерские угрозы. Примеры таких инцидентов:
- Слив баз клиентов, разработок компании и других коммерческих сведений конкурентам за вознаграждение.
- Попытки забрать результаты своей работы при увольнении.
- Коммерческий шпионаж.
- Присвоение материальных активов компании.
- Махинации с ценными бумагами и финансовыми отчетами.
Самую серьезную опасность для компаний представляют привилегированные пользователи-инсайдеры, у которых есть доступ ко всем критически важным системам и данным. Этот факт обязательно следует учесть при создании модели угроз информационной безопасности.
Модель угроз ФСТЭК России
Приказ № 17 ФСТЭК России диктует ключевые требования к защите от информационных угроз, одно из которых – определение наиболее актуальных для разных сфер деятельности.
Структура модели угроз информационной безопасности:
- Описание локальных сетей и используемых систем. Обязательно должны присутствовать: наименования, принадлежность к тому или иному классу защищенности, архитектура, особенности интерфейсов, выполняемые задачи.
- Перечень возможных последствий в случае успешно реализованных атак на перечисленные в модели угроз системы.
- Слабые места сетей и систем, эксплуатация которых может привести к развитию атаки.
- Перечисление категорий потенциальных нарушителей и их возможностей.
- Описание вероятных способов, которые могут использоваться для реализации угроз.
- Список актуальных угроз, составленный на основе всех вышеописанных факторов. Можно использовать примеры атак, перечисленных в документах ФСТЭК России и других достоверных источниках. На их базе будет проще создать собственную детализированную модель угроз.
Не обязательно включать в модель компании все пункты, однако в целом следует соблюдать эту методику. Она дает возможность составить детализированный «путеводитель» по актуальным атакам и оценить степень опасности каждой.
Последствия угроз для компании
Модель угроз информационной безопасности обязательно должна включать описание последствий атак. Во-первых, это нарушение конфиденциальности данных или потеря информации. Во-вторых, финансовый ущерб, например упущенная выгода или убытки в результате приостановки деятельности. В-третьих, проблемы с репутацией. Они могут возникнуть в случае утеки персональных данных партнеров или клиентов либо обмана мошенниками людей от имени компании.
Предотвращение внутренних угроз с помощью DLP-системы
DLP-системы (Data Loss Prevention) – решения, которые фигурируют в моделях угроз как одни из самых эффективных средств защиты от утечек информации и внутренних инцидентов. Например, продукт Solar Dozor выполняет следующие функции:
- С помощью технологии User Behavior Analytics (UBA) анализирует поведение сотрудников по различным паттернам и тем самым помогает выявлять потенциальных инсайдеров.
- Контролирует самые популярные каналы передачи корпоративных данных (электронную почту, мессенджеры и др.).
- Блокирует попытки передачи конфиденциальных документов.
- Формирует детальное досье на каждого работника, где хранится вся информация об их активности и коммуникациях.
- Контролирует хранилища данных.
- Транслирует видео и делает записи с микрофонов, экранов рабочих станций работников.
Это малый перечень функций и технологий, благодаря которым Solar Dozor позволяет выявлять внутренние нарушения. Система также облегчает проведение расследований, формирует детальные отчеты, помогает проводить разнообразные исследования в сфере информационной безопасности.
Заключение
По факту модель угроз является описательным представлением актуальных атак, которые могут быть нацелены на компанию. Она включает перечень программных и технических инструментов, используемых для защиты. Например, это могут быть системы SIEM (Security Information and Event Management) для фиксации сетевых событий, IdM (Identity and Access Management) для управления доступом к корпоративным сведениям и решения класса DLP. Эти и другие продукты формируют контур информационной безопасности, то есть представляют собой комплекс средств, эффективных против атак, перечисленных в модели угроз.
